GNU/Linux >> Linux の 問題 >  >> AlmaLinux

AlmaLinux8にLinuxMalwareDetect(Maldet)をインストールして構成する方法

Linuxマルウェア検出 (LMD)マルデットとも呼ばれます は、GNUGPLv2ライセンスの下でリリースされたLinux用のマルウェアスキャナーです。 Maldetは、ネットワークエッジ侵入検知システムからの脅威データを使用して侵害されたWebサイトにアップロードされ、マルウェアを抽出する可能性のあるPHPバックドア、ダークメーラー、およびその他の多くの悪意のあるファイルの検出に重点を置いているため、システム管理者やWebサイト開発者の間で非常に人気があります。攻撃に積極的に使用され、検出用の署名を生成します。

次のチュートリアルでは、AlmaLinux8にMaldetをインストールして使用する方法を学習します。

前提条件
  • 推奨OS: AlmaLinux8。
  • ユーザーアカウント: sudo特権を持つユーザーアカウント またはrootアクセス(suコマンド)

オペレーティングシステムの更新

AlmaLinuxを更新します 既存のすべてのパッケージが最新であることを確認するためのオペレーティングシステム:

sudo dnf upgrade --refresh -y

チュートリアルでは、sudoコマンドを使用します およびsudoステータスがあると仮定

アカウントのsudoステータスを確認するには:

sudo whoami

sudoステータスを示す出力例: 

[joshua@localhost ~]$ sudo whoami
root

既存または新規のsudoアカウントを設定するには、AlmaLinuxでSudoersにユーザーを追加する方法のチュートリアルにアクセスしてください。 。

rootアカウントを使用するには 、rootパスワードを指定して次のコマンドを使用してログインします。

su

Maldetのインストール

Maldetをインストールするには、公式ダウンロードページにあるパッケージアーカイブが必要です。ただし、アップグレードが発生してもファイルのURLは変更されないため、幸いなことに、ダウンロードリンクは頻繁に変更されません。

このチュートリアルの時点で、バージョン(1.6.4 )は最新です。ただし、やがてこれは変更されます。現在および将来の最新バージョンをダウンロードするには、次のコマンドを入力します。

cd /tmp/ && wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

次のパートでは、アーカイブを抽出する必要があります。これは、次のコマンドで実行できます。

tar xfz maldetect-current.tar.gz

アーカイブが正しく抽出されたことを確認したら、(CD) ディレクトリに移動し、インストールスクリプトを実行して、次のコマンドでMaldetをインストールします。

cd maldetect-1.6.4 && sudo ./install.sh

インストールは数秒で完了するはずです。次のような出力が得られます:

Maldetの構成

インストールスクリプトが正常に終了したので、お好みのテキストエディタを使用して構成ファイルを変更できます。以下は、(nano)を使用した一般的な設定と方法の例です。 テキストエディタ:

まず、(conf.maldet)を開きます ファイル:

sudo nano /usr/local/maldetect/conf.maldet

次に、次の行を見つけて、次のように編集します。

# To enable the email notification.
email_alert="1"

# Specify the email address on which you want to receive an email notification.
email_addr="[email protected]"

# Enable the LMD signature autoupdate.
autoupdate_signatures="1"

# Enable the automatic updates of the LMD installation.
autoupdate_version="1"

# Enable the daily automatic scanning.
cron_daily_scan="1"

# Allows non-root users to perform scans.
scan_user_access="1"
 
# Move hits to quarantine & alert
quarantine_hits="1"

# Clean string based malware injections.
quarantine_clean="0"

# Suspend user if malware found. 
quarantine_suspend_user="1"

# Minimum userid value that be suspended
quarantine_suspend_user_minuid="500"

# Enable Email Alerting
email_alert="1"

# Email Address in which you want to receive scan reports
email_addr="[email protected]"

# Use with ClamAV
scan_clamscan="1"

# Enable scanning for root-owned files. Set 1 to disable.
scan_ignore_root="0"

ここでのすべての設定はオプションであり、ここには正解または不正解がないため、独自に設定できます。

マルデットウイルスの定義とソフトウェアの更新

まず、 scan_user_access =” 1”を確認する必要があります 続行するには、前述の構成ファイルでがオンになっています。

次に、次のコマンドを実行して、ログインしているユーザーの正しいパスを作成します。これを行わずに更新すると問題が発生する可能性があります。

sudo /usr/local/sbin/maldet --mkpubpaths

これを怠ると、次のエラーが発生します。

public scanning is enabled (scan_user_access=1) but paths do not exist, please contact your system administrator to run '/usr/local/sbin/maldet --mkpubpaths' or wait for cron.pub to execute in ~10 minutes.

Maldetウイルス定義データベースを更新するには、次のコマンドを実行します。

maldet -u

出力例:

次に、既存のソフトウェアの新しいバージョンを確認するには、次のコマンドを入力します。

maldet -d

出力例:

オプション–ClamAVをインストールします

Maldetを使用する上で最も優れている点の1つは、ClamAVとの互換性です。これにより、Maldetのスキャン機能を大幅に向上させることができます。

まず、EPELリポジトリをインストールして、利用可能な最新のClamAVバージョンとその依存関係をインストールします。

sudo dnf install epel-release

ClamAVをインストールするには、次のコマンドを実行します。

sudo dnf install clamav clamav-devel -y

AlmaLinux 8でのClamAVの完全なチュートリアルについては、AlmaLinux8にClamAVをインストールして使用する方法に関するチュートリアルをご覧ください。

Maldetを使用したスキャン–例

まず、Maldet構文に精通している必要があります。すべてのコマンドはmaldetで始まり、その後にオプションとディレクトリパスが続きます(例: maldet [OPTION] )。 [ディレクトリパス]

以下に、Maldetを使用した構文例のほとんどを示します。

  • -b: バックグラウンドで操作を実行します。
  • -u: マルウェア検出シグネチャを更新します。
  • -l: マルデットログファイルのイベントを表示します。
  • -d: インストールされているバージョンを更新します。
  • -a: パス内のすべてのファイルをスキャンします。
  • -p: ログ、セッション、および一時データをクリアします。
  • -q: レポートからすべてのマルウェアを隔離します。
  • -n: レポートからマルウェアのヒットをクリーンアップして復元します。

Maldetをテストし、正しく機能していることを確認するには、(ウイルスシグネチャのサンプル)をダウンロードしてLMDの機能をテストします。 EICARWebサイトから。

cd /tmp
wget http://www.eicar.org/download/eicar_com.zip
wget http://www.eicar.org/download/eicarcom2.zip

次に、(maldet)を実行します (tmp)をスキャンするコマンド 次のようなディレクトリ:

maldet -a /tmp

これで、感染したファイルを使用すると、次のような出力が得られます。

お気づきかもしれませんが、チュートリアルは、誤検知やライブサーバー上のファイルの削除によって、解決するよりも多くの問題が発生する可能性があるため、構成を自動的に隔離しないように設定されています。優れたシステム管理者またはサーバー所有者は、結果をチェックして検証するために継続的にチェックします。

また、出力から、テストサーバーにClamAVがインストールされており、MaldetがClamAVスキャナーエンジンを使用してスキャンを実行し、マルウェアのヒットを検出することに成功したことがわかります。

実行できる他のいくつかのコマンドは、サーバーのファイル拡張子をターゲットにすることです。 PHPファイルは、多くの場合、多くの攻撃の標的になります。 .phpファイルをスキャンするには、次を使用します。

maldet -a /var/www/html/*.php

これは、スキャンするファイルが多い大規模なWebサイトやサーバーに最適であり、小規模なサーバーではディレクトリ全体をスキャンすることでメリットが得られます。

マルデットスキャンレポート

Maldetは、スキャンレポートをディレクトリの場所(/ usr / local / maldetect / sess /)に保存します。 。 (スキャンID)と一緒に次のコマンドを使用できます 詳細なレポートを表示するには:

maldet --report 211018-2316.5816

例:

次に、テキストエディタのポップアップレポートが表示されます(nano) 以下の例のように:

ご覧のとおり、ヒットリストの完全なレポートとファイルを取り巻く詳細は、さらに確認および調査するためのものです。

ファイルはすでに保存されています(CTRL + X) レビューが完了したら終了します。

必要に応じて、後でレポートから感染ファイルをすばやく隔離する場合は、次のコマンドを実行します。

maldet -q "report number"

例: 

maldet -q 211018-2316.5816

AlmaLinux

  1. AlmaLinux8にMongoDBをインストールする方法

  2. CentOSVPSにLinuxMalwareDetectをインストールして構成します

  3. CentOS 8 に Linux Malware Detect をインストールする方法

  1. Linux Malware Detect(Maldet)をFedora34にインストールする方法

  2. AlmaLinux8にlighttpdをインストールする方法

  3. Almalinux8にPrestaShopをインストールする方法

  1. AlmaLinux8にNginxをインストールする方法

  2. AlmaLinux8にPython3.10をインストールする方法

  3. AlmaLinux8にMariaDB10.6をインストールする方法